我有一台 Windows 2008 服务器,它为在该服务器上运行的网站运行 DNS 服务器。我报告说我们的服务器用于 DNS 放大攻击。在日志中我看到许多关于 isc.org 的查询。如何设置我的 Windows DNS 服务器以仅响应有关本地站点的查询?我删除了所有根提示和转发,但它仍然收到并响应有关 isc.org 的查询
答案1
好的 - 首先要做的事情是:要么给你的服务器设置防火墙,这样你组织之外的人就无法访问它,或者禁用递归:
- 打开 DNS 管理器。
- 在控制台树中,右键单击适用的 DNS 服务器,然后单击“属性”。
- 单击“高级”选项卡。
- 在服务器选项中,选中禁用递归复选框,然后单击确定。
(克里斯发布页面的便捷图片和您想要启用的选项)
现在就做。
现在你不再主动破坏互联网您可以阅读有关 DNS 放大攻击、它们是如何发生的、为什么它们很糟糕,以及你可以做些什么来避免成为其中的棋子。
你可能还想阅读这篇有关 DNSSEC 和 DNS 放大攻击的 Technet 文章其中包括一些信息参考。
然后,您可以确定如何最好地防止您的服务器被利用进行此类攻击。
通常,您可以通过仅回答已知主机组(您的内部机器)的递归查询来做到这一点,但也有其他选择。
答案2
- 打开 DNS 管理器控制台。
- 右键单击服务器,选择属性。
- 高级选项卡。
- 禁用递归。
答案3
禁用递归可能无法阻止对公共服务器的攻击。
问题在于查询大约有 94 个字节,而响应(表明它是 NXDOMAIN)至少有 119 个字节,因此攻击被稍微放大了,并且几乎总是来自欺骗的 IP。
您还必须拥有其中没有记录的点区域 (.),以便将响应减少到 119 个字节。
这些攻击中最常见的是要求 freeinfosys.com
以上任何方法都无法阻止攻击本身,但可以减少其影响。
当 DNS 服务器是公共权威服务器时,它需要允许任何人、任何地方对其所承载的区域进行查询,因此您不能通过 p 和其他步骤进行限制,而这些步骤您可以用于私有或内部 DNS 服务器。
微软 2016 年发布的下一个版本的 DNS 将具有 RRL,这将大有帮助,可惜他们没有发布 Bind 多年来一直需要的这个功能。
答案4
顺便说一下,还有查询阻止列表,但它也不会拒绝列表中域的查询。
有趣的是,由于我目前正在经历这种攻击,我再次尝试了其中一个建议。
我删除了 .root 区域并收到需要添加根提示的警告但我忽略了它。
我停止并重新启动了 DNS 服务,并确保根提示仍然清晰。
响应数据包从 119 字节增加到 700 多个字节,所以现在我将攻击放大了 10 倍。
因此,如果有人向我发送 1MB 的带宽,我会向没有发送请求的 IP 发送 10 倍带宽,用于我无权处理的查询。
我确实希望这个建议能够奏效,而且我确信我以前尝试过,但是由于恰巧遇到了实弹攻击的情况,所以我再次尝试了。